Sécurité IA : les CISO coincés avec les outils d'hier

L'IA se déploie partout, la sécurité regarde passer le train

On en est là. L'intelligence artificielle s'installe dans tous les recoins des entreprises, des pipelines de données au cloud en passant par les systèmes d'identité et les applications métier. Et pendant ce temps, les responsables sécurité tentent de protéger tout ça avec les mêmes outils qu'il y a cinq ans.

C'est le constat du rapport "AI and Adversarial Testing Benchmark Report 2026" publié par Pentera, basé sur un sondage auprès de 300 CISO et responsables sécurité aux États-Unis. Les chiffres sont sans appel, et franchement assez inquiétants.

Deux tiers des CISO naviguent à l'aveugle

Le chiffre qui fait mal : 67 % des CISO déclarent avoir une visibilité limitée sur l'utilisation de l'IA dans leur organisation. Et attention, "limitée" c'est le mot poli. Aucun des répondants n'a déclaré avoir une visibilité complète.

Zéro. Pas un seul.

Concrètement, dans la grande majorité des entreprises, personne ne sait vraiment quels systèmes IA tournent, quelles données ils manipulent, ni quelles identités ils utilisent pour accéder aux ressources internes. Quand vous ne savez même pas ce que vous devez protéger, monter une stratégie de défense relève de l'improvisation.

Le problème vient en partie de l'éclatement des responsabilités. L'IA ne se déploie pas de façon centralisée. Un service marketing utilise un chatbot par ici, une équipe data intègre un modèle dans son pipeline par là-bas, et le shadow AI prolifère tranquillement dans les angles morts de la DSI.

Des questions basiques restent sans réponse : quelles identités les systèmes IA utilisent-ils ? À quelles données ont-ils accès ? Comment se comportent-ils quand les contrôles tombent ? Dans la majorité des cas, personne ne le sait.

Le vrai blocage, c'est la compétence, pas le budget

Les CISO interrogés par Pentera placent le manque d'expertise interne en tête de leurs obstacles, à 50 %. Vient ensuite la visibilité insuffisante sur l'IA (48 %) puis le manque d'outils conçus pour sécuriser ces systèmes (36 %).

Le budget, lui ? Seulement 17 % le citent comme frein principal. Ça casse un peu le discours habituel du "on n'a pas les moyens". Les entreprises veulent bien investir, mais elles ne trouvent pas les bonnes compétences sur le marché. Et former une équipe sécu aux risques propres à l'IA ne s'improvise pas en un trimestre.

Parce que les systèmes IA introduisent des comportements que les équipes sécurité traditionnelles n'ont jamais eu à évaluer. On parle de prise de décision autonome, de chemins d'accès indirects entre systèmes, d'interactions privilégiées qui échappent aux grilles d'analyse classiques. La formation cybersécurité standard ne couvre tout simplement pas ces scénarios.

C'est un peu comme demander à un plombier de câbler du réseau fibre. Il comprend les tuyaux, mais pas ceux-là.

Des contrôles hérités pour des menaces inédites

Faute de mieux, les entreprises font avec ce qu'elles ont. Et ce qu'elles ont, ce sont des outils conçus pour des architectures traditionnelles.

Le rapport de Pentera révèle que 75 % des CISO s'appuient sur des contrôles de sécurité hérités (endpoint, applicatif, cloud, API) pour protéger leur infrastructure IA. Seulement 11 % disposent d'outils pensés pour la sécurité de l'IA.

Onze pour cent. En 2026.

On a déjà vu ce scénario. À chaque grande mutation technologique, les organisations étirent leurs défenses existantes avant que des solutions adaptées finissent par émerger. Le passage au cloud a connu ça au début des années 2010. Le mobile aussi. L'IA suit exactement le même schéma, avec une différence de taille : la vitesse d'adoption est incomparablement plus rapide.

Les systèmes IA modifient les patterns d'accès et élargissent les surfaces d'attaque d'une manière que les outils endpoint classiques ne savent pas détecter. Un agent IA qui s'authentifie avec des privilèges élevés et accède à des données sensibles à 3 heures du matin, ça ne ressemble pas à une menace pour un antivirus traditionnel. Ça ressemble à une requête légitime.

Ce que ça change concrètement pour les équipes sécu

Le message du rapport est assez limpide : les entreprises qui attendent l'outil parfait pour sécuriser l'IA perdent un temps qu'elles n'ont pas.

La priorité devrait être de monter en compétence, maintenant. Comprendre comment les modèles IA interagissent avec l'infrastructure existante. Cartographier les déploiements, même sauvages. Tester les contrôles de sécurité dans les environnements où l'IA opère déjà, pas dans un labo isolé qui ne reflète rien de la réalité.

Et surtout, arrêter de traiter la sécurité IA comme un problème de demain. Les systèmes tournent déjà. Les données transitent déjà. Le shadow AI existe déjà dans vos couloirs, que vous le vouliez ou non.

Le rapport complet de Pentera est disponible en téléchargement pour ceux qui veulent creuser les données brutes et les recommandations détaillées.

Franchement, si vous êtes CISO et que vous dormez tranquille en 2026, c'est peut-être le moment de vérifier ce que vos équipes ont branché sur le réseau pendant que vous aviez le dos tourné.